Marc Rivero López
Valoración de los usuarios: / 3
PobreEl mejor 
Addthis

candado

Uno de los problemas que más encontramos actualmente, a pesar de existir desde hace ya muchos años medios de navegación web seguros, es que sigamos utilizando conexiones en texto plano al visitar páginas en las que se intercambian datos. En algunos casos esto ocurre incluso para el correo electrónico. En muchas ocasiones, a pesar de existir esta tecnología que nos permite realizar conexiones seguras, el simple problema es que por defecto se utiliza la versión no segura de la página web y deberemos ser nosotros mismos quienes nos ocupemos de especificar el tipo de conexión a utilizar. Esto se hace mediante notaciones como "https://" o en el caso del correo electrónico mediante la configuración de la cuenta. Hace ya tiempo leí en Security By default que era posible utilizar Facebook por SSL. Podéis leer ese POST aquí, Facebook por SSL. Pero, ¿qué es SSL? Veamos que dice la Wikipedia.

 

SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. Habitualmente, sólo el servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar; la autenticación mutua requiere un despliegue de infraestructura de claves públicas (o PKI) para los clientes. Los protocolos permiten a las aplicaciones cliente-servidor comunicarse de una forma diseñada para prevenir escuchas (eavesdropping), la falsificación de la identidad del remitente (phishing) y alterar la integridad del mensaje.

Lo que pasa es que este Script no es del todo efectivo. Primero probaremos la solución que nos daban en Security By default. Solución que no es del todo fiable. Abrimos Firefox y nos vamos al página donde están publicados todos los complementos. Complementos de Firefox y buscamos:

Greasemonkey

anadir_greasemonkey1Para los vagos, se puede acceder anadir_complementodirectamente a la descarga en el siguiente enlace:  Greasemonkey.

Pinchamos en añadir el complemento a Mozilla Firefox...

 

Y empezamos a descargar el complemento.

 

 

descargando_greasemonkeyreiniciar_firefox1

Siempre después de instalar un complemento en Firefox hay que reiniciar.

 

Esta es una de las ventajas de Firefox, la forma en la que se gestionan e instalan todo tipo de plugins.

 

complemento_instalado

Después de haber reiniciado nos aparecerá la siguiente pantalla indicando que el complemento se ha instalado correctamente en nuestro navegador.

 

Existen otros muchos complementos de gran utilidad para todo tipo de tareas relacionadas con el hacking y el diseño web, pero eso es fuente para otro artículo.

 

 

Ahora que ya tenemos instalado Greasemonkey, nos vamos a la página para instalar el Script. Pulse sobre este enlace: Script para Greasemonkey

instalando_scriptinstalando_script_2

En esta página le damos a Install, luego veremos aparece algo así:

 

Si nos fijamos, ya viene directamente preparado para facebook, con esas URL. Vamos a editar este Script

 

 

administrar_scriptadministrar_script_2Como véis hemos ido al icono del monito que hay abajo a la derecha y hemos echo botón derecho. Le damos a Administrar Scripts.

Bueno le hemos dado a añadir y hemos puesto http://*.wordpress.com/*.

Como podéis ver se utiliza el asterisco como comodín para sustituir cadenas de tipo alfanumérico.

 

administrar_script_3probando_script

Esto que haría? Pues que si en el navegador ponemos seifreed.wordpress.com, directamente nos hace la conexión por https y también lo hará en subpáginas o directorios del site. Ahora añadimos las páginas que sepamos que pueden tener cifrado por SSL pero que por defecto no lo implementan para que se haga la conexión directamente.

 

Bueno yo he elegido estas, ahora veremos que pasa cuando introducimos por ejemplo facebook.com. Ahora debería directamente hacernos la conexión por HTTPS, pero lo que sucede es esto:

probando_script_2probando_script_3

Es decir el Script no acaba de funcionar del todo bien, tuve que probarlo pues unas 7 veces para que ocurriera esto:

Como véis la conexión se realiza por SSL. Ahora haremos que siempre se cumpla esa condición.

 

 

instalando_no_scriptadministrar_noscript

 

Para solucionar este problema de mal funcionamiento volvemos a los addons de Mozilla como antes y buscamos e instalamos otro complemento llamado NoScript. Pincha sobre este enlace:  NoScript.

Una vez instalado, accedemos a el menu de configuración de NoScript. Pinchamos sobre "Opciones".

 

administrar_noscript_3administrar_noscript_4

Buscamos el apartado de "configuración", nos vamos a "avanzado", tal y como muestra la imágen. Y luego vamos a "HTTPS".

Aquí pondremos las webs que queramos que se conecten por SSL tal y como comentamos antes con greasemonkey. Ahora vamos ha hacer la prueba volvemos a poner facebook.com

 

administrar_noscript_5

 

Y lo que sucede por fin, y a la primera, es:

Que se nos conecta automáticamente por SSL a la primera.

Pero que pasa si navegamos por una subpágina de facebook.com.

administrar_noscript_6

 

 

Sigue manteniendo la conexión SSL. Mediante NoScript podemos ver como seguimos manteniendo la conexión por SSL siempre. Y no falla.

NOTA: Este tutorial funciona en páginas que disponen de páginas por HTTPS pero que no lo tienen implementado por defecto.

Comentarios (0)
¡Sólo los usuarios registrados pueden escribir comentarios!

Acerca del autor Marc Rivero López


Marc Rivero López (Seifreed) titulado en explotacion de sistemas informaticos (ESI) en el Colegio de la Guineueta. Este año me dedicare a hacer un curso Puente y para poder cursar ASI.  Me gusta mucho la Seguridad Informática y redes, y no descarto intentar dedicarme a ello algun día. Me encanta mirar otros Blogs de Internet ya que creo que el tema de los Blogs es algo que ayuda a bastante gente. Y creo que estoy en uno de los mejores foros: Wadalbertia, además de ser moderador de una comunidad bastante conocida en Internet: DragonJar. Bueno y lo mas importante es el aprendizaje conjunto que se puede hacer a través de Internet.


 

Conocer mas sobre Marc Rivero López

Relacionadas Noticias similares